Le Forum InCyber a eu pour thème, cette année, «réinventer la cybersécurité à l’ère de l’IA». Quel rôle voyez-vous pour l’intelligence artificielle dans la cybersécurité?
Pascal Steichen. – «Je vois trois dimensions: ‘the good, the bad and the ugly’. D’abord, il y a un énorme potentiel d’utilisation de l’intelligence artificielle (IA) pour renforcer les protections, la prévention, la détection et l’analyse des cas de cybersécurité. C’est le bon côté de l’IA (the good). Le mauvais côté (the bad), c’est que l’IA a aussi un impact sur la criminalité. Il y aura peut-être de nouveaux types d’attaques, et, surtout, cela va les rendre plus rapides et plus efficaces.
Et le vilain côté (‘the ugly’)?
«Je fais allusion au fonctionnement intrinsèque des systèmes et des algorithmes d’IA, dont il faut assurer la sécurité et la stabilité. Nous ne sommes qu’au début: beaucoup de nouveaux défis vont encore émerger. Il faut éviter la situation où des systèmes d’intelligence artificielle sont compromis parce qu’ils ont été mal configurés, par exemple. Là où l’utilisation de l’IA par les criminels est quelque chose qu’on peut appréhender, l’aspect sécurité de l’intelligence artificielle elle-même est beaucoup plus flou.
L’IA peut-elle améliorer les prévisions?
«Cela me semble difficile. Contrairement à la physique, la cybersécurité n’est pas un système consistant: c’est un système dynamique dans lequel l’humain joue un rôle prépondérant.
Quels sont les grands défis actuels de la cybersécurité?
«Au-delà de l’IA, l’évolution technologique ouvre de nouvelles dimensions, notamment avec les ordinateurs quantiques. Dans le domaine de la cybersécurité, on commence déjà à réfléchir à ces nouveaux défis. Pensez tout simplement aussi à la digitalisation de l’industrie. Dans l’alimentaire, par exemple, certaines fermes sont aussi des entreprises numériques. La numérisation est également énorme dans l’industrie manufacturière. Assurer la sécurité et la résilience de ces nouvelles plateformes digitales est un défi considérable.
Quels défis voyez-vous en dehors de la technologie?
«Il y a naturellement aussi la problématique des besoins en compétences, en ressources humaines. On manque d’experts en cybersécurité. Le développement de l’intelligence artificielle va peut-être contribuer à en mitiger l’impact.
Troisième tendance à ne pas négliger: le cyberespace devient un enjeu géopolitique propre. Ce n’est pas pour rien que l’Otan l’a déclaré comme cinquième domaine d’action, que des États renforcent leurs capacités d’attaques, que de nouveaux métiers comme le cyberdiplomate font leur apparition, qu’un groupe de travail de l’Onu planche sur des normes de cyber-résilience, etc.
Comment le Luxembourg se prépare-t-il à faire face à ces défis?
«Il existe un grand consensus, respectivement un grand effort commun au niveau européen, en matière de cybersécurité. Il y a donc vraiment une conscience qu’on ne peut plus jouer solo dans son pays: il faut aligner, harmoniser, interconnecter les stratégies et les plans d’action. Tout développement doit considérer cette dimension européenne. Agir ensemble ralentit forcément le processus, mais cela rendra le résultat plus durable.
Comment le Luxembourg contribue-t-il aux efforts internationaux?
«Au niveau européen, nous sommes un contributeur de la première heure aux initiatives de cybersécurité. La toute première d’entre elles, le programme de sensibilisation Safer Internet, est mise en œuvre par Bee Secure au Luxembourg. Citons aussi la création de l’Agence européenne chargée de la sécurité des réseaux et de l’information (Enisa) puis, tout récemment, celle du Centre européen de compétences en matière de cybersécurité (ECCC), pour lequel le Luxembourg a eu l’opportunité de présenter son modèle. Nous avons également toujours essayé d’apporter une contribution active aux différents textes, comme la directive NIS sur la cybersécurité. Enfin, le Luxembourg a été l’un des premiers pays européens à se doter, en 2012 déjà, d’une stratégie nationale dans ce domaine. Nous essayons toujours d’être parmi les ‘first-movers’.
Comment rester pionnier?
«Deux choses peuvent se faire – et se font – en parallèle. Il y a d’un côté la dimension organisationnelle, avec la coopération, l’échange d’informations et le partage d’expériences pour permettre une détection beaucoup plus rapide des menaces et des attaques. L’autre aspect concerne la technologie: investir dans la recherche, notamment dans l’intelligence artificielle et les ordinateurs quantiques, parce que ce sont ces technologies-là qui vont déterminer le fonctionnement du monde numérique. Il faut se concentrer dès aujourd’hui sur les aspects sécuritaires de l’IA: il s’agit d’un élément essentiel pour continuer à faire partie du peloton de tête des contributeurs.
Et dans le contexte Otan, dont les membres sont appelés à augmenter leur contribution?
«Le Luxembourg a identifié le cyber comme l’un des domaines où il compte investir davantage au titre de ses contributions à l’Otan. C’est là où, comme petit pays, nous pouvons vraiment faire la différence.
Ni l’État ni le secteur privé n’ont la taille critique en termes de ressources.
Au niveau de l’État luxembourgeois, quels sont les défis actuels en matière de cyber-résilience?
«Les développements des dernières années doivent se poursuivre. Il faut garantir une coordination rapprochée des différents acteurs critiques qui vont assurer la résilience, tant au niveau public que privé. La stratégie nationale a établi une gouvernance, avec un comité interministériel qui assure la coordination. Dans la continuité de ces actions, il faut se rapprocher encore plus des acteurs-clés de l’économie, des acteurs privés, pour pouvoir combiner les forces et mettre en place des plans communs de résilience. Ni l’État ni le secteur privé n’ont la taille critique en termes de ressources.
Quelles sont typiquement les actions envisagées?
«Il existe des expertises spécifiques qui se répartissent entre de nombreux acteurs. S’il y a un grand incident dans un certain domaine, il faut être capable d’identifier qui a un expert dans ce domaine et de pouvoir le faire travailler sur ce problème-là, qu’il vienne du secteur public ou du secteur privé.
Citons aussi le concept de réserve nationale cyber qui existe dans plusieurs pays. Le Luxembourg n’a pas encore mis cela en place, justement parce qu’on veut créer quelque chose qui puisse combiner le public et le privé. Jusqu’aujourd’hui, personne ne l’a fait. Il y a tout un cadre à créer, tant légal qu’opérationnel.
Comment évaluez-vous l’évolution du nombre et de la gravité des cyberattaques au Luxembourg au cours des dernières années?
«On estime qu’il y a une trentaine d’incidents majeurs par an au Luxembourg, contre moins de cinq il y a cinq ans. Il y a un pur effet statistique derrière cette hausse: plus on joint nos forces pour détecter ou prévenir les attaques, meilleure est notre connaissance du phénomène. Celui-ci augmente en même temps que l’éventail des possibilités pour les cybercriminels, parce que tout est plus ou moins digitalisé et que la numérisation s’est réalisée, à plusieurs endroits, sans trop considérer la sécurité. On a besoin de continuer et de renforcer les investissements dans la cybersécurité. Cette dimension doit être intégrée dans les nouveaux projets dès leur conception.
Notre message est de ne pas se laisser perturber par la complexité.
Combien y a-t-il d’incidents de cybersécurité chaque année au Luxembourg, selon vos estimations?
«Entre 700 et 800. Mais si le nombre d’incidents majeurs a augmenté, tout comme le nombre de notifications, on ne peut pas parler en général d’une explosion du nombre d’incidents. En fait, selon notre analyse, c’est surtout la visibilité des cyberattaques qui augmente aujourd’hui. Celles qui ont visé certaines sociétés luxembourgeoises (Cactus, Giorgetti, Enovos, Cobolux…) sont connues. Il y a un jeu de pression de la part des criminels, qui font savoir qu’ils ont hacké telle ou telle entreprise. Cela augmente l’envergure des incidents, qui nécessitent, dès lors, une véritable gestion de crise.
Où en est la prise de conscience des entreprises luxembourgeoises en matière de cybersécurité?
«La conscience s’est renforcée. On voit des acteurs comme la Chambre des métiers ou l’association des consommateurs, dont la cybersécurité n’est à priori pas la première préoccupation, organiser des événements autour de ce sujet – parce qu’ils voient l’intérêt de leurs membres. Mais, naturellement, la cybersécurité n’est qu’un sujet parmi beaucoup d’autres. Et souvent, dans les petites entreprises, la cybersécurité est perçue comme un frein à l’activité.
Il y a donc encore du travail…
«Oui, pour faciliter l’accès à de l’expertise, réduire la complexité et faire en sorte qu’on puisse se concentrer sur des éléments faciles à mettre en œuvre avec un fort impact. Je dirais qu’on a franchi une première étape dans la prise de conscience : la plupart des gens reconnaissant l’importance du sujet. L’étape suivante, c’est le passage à l’action. Et pour passer à l’action, on doit y voir un bénéfice.
L’empilement des solutions technologiques est-il un frein?
«Il s’agit à nouveau d’une barrière pour des petites entités qui se voient bombardées d’acronymes barbares et se perdent dans la jungle des solutions de cybersécurité. On voit clairement une évolution à deux vitesses. Avec, d’un côté, des entreprises qui ont développé des compétences en cybersécurité depuis plusieurs années et commencent à prendre la voie de dépassement. Et, de l’autre, des entreprises qui s’y sont mises récemment et sont confrontées à ces multiples dimensions.
Notre message est de ne pas se laisser perturber par la complexité. Il s’agit in fine de protéger les valeurs importantes d’une entreprise, ce qui peut se faire de différentes manières. Les choix peuvent donc être très diversifiés.
Le plus important, en cas d’incident, c’est d’avoir le bon numéro de téléphone.
Quelle approche recommandez-vous aux entreprises sur ce plan?
«Le plus important, en cas d’incident, c’est d’avoir le bon numéro de téléphone, le contact d’un expert pour ne pas se perdre soi-même dans un labyrinthe. En pareille situation, il faut comprendre quelle faille a été exploitée. C’est là que toute la complexité de notre monde digital devient palpable. Internet est constitué de couches et de nouvelles couches se rajoutent sans cesse. Dans la prévention et la protection, le défi est donc de ne pas ajouter de la complexité à la complexité: on a besoin de rendre les choses un peu plus accessibles et compréhensibles. D’où l’importance des acteurs publics spécialisés qui jouent ce rôle et orientent les premiers pas.
Les entreprises ont-elles conscience des risques liés au cloud et à l’outsourcing?
«Elles font parfois ces choix pour des raisons discutables. Avant de prendre la solution la mieux classée selon tel ou tel benchmark, il faut un minimum d’analyse. Typiquement, le cloud est souvent vendu comme la solution sans souci, on met tout dans le cloud et quelqu’un d’autre s’en occupe… ce n’est, hélas, pas aussi simple. Ce type de solutions permet certes de répondre à plusieurs problématiques sécuritaires, mais il engendre aussi d’autres risques.
Que conseillez-vous?
«L’essentiel, c’est de commencer par identifier les valeurs importantes, notamment les données, et les risques potentiels. Ensuite, est-ce qu’on veut cibler plutôt la vulnérabilité intrinsèque des systèmes? Essayer d’éviter certains types de menaces? C’est en fonction de cela qu’il faut choisir les solutions. Il peut être utile d’externaliser certaines activités et pas d’autres.
Est-ce que ces risques particuliers nécessitent une réponse particulière?
«Par rapport à de grandes entreprises, des petites structures peuvent avoir des besoins spécifiques. Avoir des sociétés qui se spécialisent dans l’un ou l’autre domaine est donc utile. Avec le ministère de l’Économie, nous voulons accompagner le développement d’activités comme le cloud au Luxembourg, afin d’avoir une offre au plus proche des besoins. Que ce soit en termes de souveraineté ou d’évolutivité – pour pouvoir, avec une solution, gérer 25 petits domaines de manière plus efficace qu’une grande infrastructure unique ne le ferait.»
«L’interopérabilité renforce la sécurité»
L’interopérabilité des données, c’est-à-dire la capacité des systèmes informatiques à échanger et à utiliser les informations de manière transparente, devient cruciale pour les organisations. Est-ce souhaitable du point de vue de la cybersécurité? Oui, répond Pascal Steichen.
Pour le CEO de la LHC, l’échange d’informations sur la cybersécurité permet aux entreprises de mieux évaluer les risques et de diriger plus efficacement leur stratégie de protection: «Cette pratique, déjà courante au sein des équipes spécialisées dans la réponse aux incidents, s’avère indispensable pour obtenir une vue d’ensemble des menaces qui, souvent, varient d’une région à l’autre. L’interopérabilité favorise une collaboration accrue, même entre concurrents, et renforce ainsi la sécurité collective.»
800
Il y a entre 700 et 800 incidents de cybersécurité (de tout type) par an au Luxembourg, estime Pascal Steichen. Les incidents majeurs, moins de cinq il y a cinq ans, se montent désormais à une trentaine par an, selon le CEO de la LHC.
N’étant pas une autorité (en mesure d’exiger des informations du marché), la LHC ne publie que les statistiques des événements traités par son centre de réponses sur incidents. «Bien qu’elles ne soient pas exhaustives, ces données offrent un aperçu important de la situation», note Pascal Steichen.
Cet article a été rédigé pour l’édition magazine de Paperjam , paru le 27 mars 2024. Le contenu du magazine est produit en exclusivité pour le magazine. Il est publié sur le site pour contribuer aux archives complètes de Paperjam.
Votre entreprise est membre du Paperjam+Delano Business Club? Vous pouvez demander un abonnement à votre nom. Dites-le-nous via